Yara é uma ferramenta de código aberto para reconhecer padrões em arquivos que já um padrão na indústria de segurança defensiva, extensamente utilizado nos campos de threat intelligence, pesquisa em malware e outros. É extremamente poderosa, especialmente quando integrada com outros serviços e produtos como VTI (VirusTotal Intelligence). Neste workshop vamos aprender como criar regras assertivas e de alto desempenho para casos especiais onde o simples casamento de cadeias de texto não é suficiente. Ele será dado através de exemplos onde os arquivos são dados aos estudantes, que recebem dicas para escrever regras de Yara para resolver casos reais de campanhas de ciber crime e ataques dirigidos. No final do workshop todos os estudantes recebem um pacote contendo todas as regras de cenários reais explicadas. O objetivo é habilitar pesquisadores a escrever regras melhores, dando a eles a oportunidade de serem mais precisos e rápidos na investigação de ataques. Através dos exercícios, vamos usar diferentes módulos em combinação com as construções disponíveis na última versão do Yara como modificados, funções, repetições e mais. 
PROGRAMA 
1. Revisando as melhores práticas para escrever regras Yara 
• Metadados, tags e comentários 
• Escopo de regras (global, private and normal) 
• Identificação de arquivos com funções intXX() 
• Modificadores de strings 
• LAB01: Casando arquivos PE 
2. Escrita avançada de regras com módulos 
• Identificando campos interessantes da estrutura do PE 
• Removendo valores específico de compiladores para evitar falsos-positivos 
• LAB02: Família de ransomware sem strings em comum 
• LAB03: Cavalo de Tróia bancário empacotado com BobSoft 
• LAB04: Ransomware com executável na seção .rsrc 
• LAB05: Construtor de RAT por nome de seção 
• LAB06: Cliente de RAT pelo ícone na seção .rsrc 
• LAB07: Artefatos protegidos por VMProtect 
3. Quando o Yara puro não é suficiente 
1. Extensões do VTI 
2. Especificidades do Retrohunt 
3. Extendendo o Yara 
DURAÇÃO 
8h 
REQUISITOS 
- Algum conhecimento sobre malware 
REQUISITOS DO LAB 
- VMware (pode ser o Player, Workstation, Fusion, etc) para rodar uma VM com Ubuntu de 2 GB de RAM. 
- Recomendado um laptop com 6 GB de RAM no mínimo. 
O QUE OS ALUNOS VÃO RECEBER 
Uma VM com todos os softwares necessários instalados e material do workshop, arquivos para os labs (desafios) e slides.
Mais informações e inscrições (limitadas a 30 participantes): https://www.h2hc.com.br/h2hc/pt/treinamentos#yaraworkshop2

O mais antigo evento hacker do Brasil volta a acontecer. Simplesmente imperdível. Mais informações: https://www.h2hc.com.br/h2hc/pt/

OWASP Paraíba Day 2019
Evento focado em Segurança de Aplicações Web
Link para a Página do Capítulo:
https://www.owasp.org/index.php/Paraiba
 
Link para a Página do Evento: